Quedan menos de seis meses para que entre en vigor en España el Reglamento Europeo de protección de datos. Y, a falta de que se apruebe en el Congreso el proyecto de Ley orgánica de protección de datos (se espera que sea en breve), ya se pueden adelantar una serie de novedades al respecto:

• Con diferencia, la novedad más importante se refiere al consentimiento de los interesados:
  1. Las cláusulas informativas deberán ser de fácil acceso y con un lenguaje claro y sencillo.
  2. Ya no se permitirá el consentimiento tácito, sino que el titular consentirá el tratamiento de sus datos de forma expresa para finalidades específicas.
  3. A efectos prácticos y para evitar sanciones, será fundamental poder acreditar la obtención de este consentimiento con cualquier medio de prueba admisible en derecho. Entiendo que tendrían cabida a este respecto el articulado de la Ley de enjuiciamiento civil sobre materia probatoria.
  4. En cuanto al consentimiento de los menores de edad, no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será menos de 13 años.
• Se introduce expresamente el derecho al olvido y el derecho a la portabilidad. Con el primero de ellos se puede solicitar el bloqueo en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos. El derecho a la portabilidad consiste en la posibilidad de solicitar los datos al responsable de un tratamiento de forma automatizada para trasladarlos a otro nuevo responsable en formato también automatizado.
• Los contratos con encargados del tratamiento también son objeto de modificaciones. Como mínimo debe establecerse el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Así, se deberán concretar los tratamientos a realizar (recogida, registro, consulta, cotejo, conversación, etc.) e identificar con exactitud la información afectada por la prestación del servicio.
• • Se obliga a las empresas a notificar en setenta y dos horas las brechas de seguridad que sufran y que supongan el robo de información de sus clientes.
  • Esta nueva regulación afectará a todas las empresas que manejen datos de ciudadanos europeos, tengan o no su sede en territorio comunitario.
  • Las multas pueden tener una cuantía de hasta 20 millones de euros o al 4% de la facturación global del autor de la infracción. Actualmente, el límite de multa en España llega a 600.000 euros.
  • Se va a obligar a ciertas empresas a nombrar un delegado protección de datos en ciertos casos:
    1. Cuando realicen operaciones de tratamiento que requieran una observación habitual y sistemática de datos a gran escala; o
    2. Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.
  • En los supuestos de tratamiento de datos en los que sea probable que se genere un alto riesgo para los derechos y libertades de las personas, el responsable deberá realizar una “evaluación de impacto” que pondere la gravedad, origen y naturaleza de dichos riesgos. debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dichos riesgos. Conforme a dicha evaluación, se deberán tomar las medidas de seguridad más adecuadas.
  • El responsable del tratamiento deberá realizar un análisis de riesgos y una auditoría para saber qué cambios, mejoras tecnológicas y procesos deberán adoptar para cumplir con GDPR.

  No obstante, hay que esperar sobre las diferentes matizaciones o desarrollos que pueda hacer la ley orgánica española.